La cybersecurite est-elle vouee a lechec

Titre : La cybersécurité est-elle vouée à l'échec ?

Émission : Du grain à moudre

Intervenant : Antoine Genton

Lieu : France Culture

Date : 01/11/2018

Durée : 0h40mn (approx.)

Page du podcast : 1

00' transcription en cours par André

Bonsoir et bienvenus. Du Grain à moudre sur France Culture. Ce soir, la cybersécurité est-elle vouée à l'échec ?

Antoine Genton : Pas un jour ou presque sans une attaque informatique, contre des particuliers, contre des entreprises, contre des États - le Gabon, par exemple, en début de semaine - pas un mois ou presque non plus sans un scandale retentissant. Ce mois ci, par exemple, une affaire d'attaque interdiction des armes chimiques aux Pays-Bas. Des hameçons numériques, des données volées, des sociétés rançonnées, bref, de graves et fréquents problèmes de sécurité - près de 180000 chaque jour dans le monde, un chiffre qui ne cesse de croître - et, pourtant, le grand public n'est que peu sensibilisé sur ces questions. Les entreprises sont rarement bien préparées et bien protégées, et les responsables politiques semblent-il à la traîne, en dépit de quelques actions, de quelques manifestations, comme le Mois Européen de la Cybersécurité - c'est en ce moment, jusqu'au 11 novembre - à la traîne, donc, face aux gigantesques enjeux de ce sujet. Partant, la cybersécurité est-elle vouée à l'échec ? C'est la question du Grain à moudre ce soir. Pour y répondre, trois invités : Laure de La Raudière, bonsoir.

Laure de La Raudière : Bonsoir.

Antoine Genton : Députée UDI Agir, co-présidente du groupe d'études cybersécurité et souveraineté numérique à l'Assemblée Nationale, vous êtes ingénieure des télécoms de formation.

Laure de La Raudière : Tout à fait.

Antoine Genton : Genma, bonsoir.

Genma : Bonsoir.

Antoine Genton : Un pseudonyme connu des spécialistes, d'une frange du public car vous organisez des conférences, des ateliers pour tous, vous militez pour la promotion de la sécurité informatique. Vous êtes aussi directeur des systèmes d'information d'une PME, Linagora. Philippe Trouchaud, bonsoir.

Philippe : Bonsoir.

Antoine Genton : Associé au sein du cabinet conseil PriceWaterhouseCoopers en charge des activités de cybersécurité pour la France, vous conseillez de grands groupes internationaux, des entreprises du CAC 40, vous êtes l'auteur de La cybersécurité face au défi de la confiance, livre publié chez Odile Jacob. Trois invités donc, trois profils complémentaires pour tenter de faire le tour de cette vaste question. On parlait des attaques, beaucoup d'attaques, je le disais, quasi quotidiennes, des attaques qui d'ailleurs prennent une multitude de formes, parfois difficiles à parer. Je voulais qu'on s'arrête d'abord sur ce qui est attaque, sur les pirates, sur les hackeurs, ces gens-là, Genma, ont-ils un temps d'avance sur nous, utilisateurs, particuliers, entreprises ?

Genma : Alors, en fait, il faut différencier, je pense, les attaques qu'on fait au niveau des entreprises des attaques qu'on fait au niveau du particulier, on va pas chercher les mêmes choses. Au niveau des entreprises ça va être surtout de l'espionnage industriel, ou utiliser des ressources machine, pour faire d'autres attaques. Au niveau du particulier, ça va être plus en fait du, des racketiciels, des ransomwares, comme on appelle, il y a tout le système de phishing, quoi que, en fait, le, l'usager a été sensibilisé à toutes ces problématiques de mail, en fait, où on a gagné au loto, il y a quelques années ça marchait, maintenant ça ne marche plus, donc en fait on a une sophistication qui se fait justement dans ces attaques-là.

Antoine : Hum. Donc ça se sont les, les modes d'action de ces hackeurs, Philippe Trouchaud, aujourd'hui ces, ces pirates, ces assaillants ont-ils un temps d'avance sur la sécurité, la cybersécurité, les entreprises qui travaillent sur le sujet ?

Philippe : On pourrait dire aussi que ceux qui sont victimes ont un temps de retard. La caractéristique des attaquants c'est qu'on voit aujourd'hui une parfaite translation du crime physique vers le cybercrime. Beaucoup plus rentable, il y a pas de fait de violence, si vous avez le bon goût de disjonter vos attaques dans un pays où il n'y a pas de juridiction ?, vous risquiez pas grand-chose, et même si vous vous faites pincer, historiquement les tribunaux sont extrêmement cléments vis-à-vis de ceux qu'ils considèrent comme des Robins des Bois. ??, le crime organisé, c'est une activité très lucrative, vous avez des États qui s'intéressent, c'est une nouvelle forme d'espionnage, effectivement les entreprises et particuliers sont un peu dans le syndrôme de la citadelle assiégée, c'est-à-dire qu'ils se défendent avec les moyens qui sont les leurs, et il y a peu de collaborations entre entreprises, encore moins entre les entreprises et particuliers, et encore moins entre les réseaux universitaires et les agences étatiques, le niveau de collaboration est assez faible, donc on a en effet toujours un temps de retard parce qu'on n'anticipe pas les nouvelles menaces et même on ne capitalise pas sur la résolution des incidents. C'est ça qui explique finalement le, le temps d'avance ou le temps de retard suivant le point de vue qu'on prend.

Antoine : L'anticipation, la collaboration, la coopération, ont va en parler, on en aura l'occasion un peu plus tard dans cette émission. Laure de La Raudière, sur ces assaillants, là encore, est-ce que ils ont un temps d'avance, qu'est-ce qu'on essaie de faire pour les contrer ?

Laure : Alors, oui, les assaillants ont un temps d'avance, parce que comme vous l'avez très bien dit, nous avons une prise de conscience très tardive et les menaces augmentent très rapidement. Or, la prise de conscience c'est de la pédagogie de tous les citoyens, de toutes les entreprises, c'est long à décliner. Donc la plupart des entreprises ainsi que les PME, la plupart des citoyens sont relativement désormais désemparées. Pour autant, le gouvernement a mis en place un outil qui s'appelle la cybermalveillance.gouv.fr. vous pouvez à la fois recueillir des conseils mais aussi signaler toutes les attaques que vous subissez. Il y a aujourd'hui peu de prise de conscience dans le grand public, peu de prise de conscience dans les chefs d'entreprises de l'importance de ces menaces, de la permanence de ces menaces, quotidiennement, parce qu'on n'a pas été formés à ça. Quand vous avez un enfant et vous lui faites traverser la rue les premières fois quand il est seul, vous lui apprenez à le faire. Et puis à l'école on l'apprend aussi à se protéger de certains risques. On est informés d'une autre prise ?. Pour la cybersécurité, c'est pas le cas. Personne n'en parle, et les français n'en sont pas conscients. Si vous demandez aux citoyens dans la rue s'ils ont déjà subi une cyberattaque, ils vont vous dire, "bah, non", mais le jour où ça va arriver, ils vont être démunis pour pouvoir se prémunir du ransomware qui viendra capter leurs données et qui demandera une rançon. Souvent des rançons de 200€, 250€, 300€.

Antoine : C'est pas très élevé, non ?

Laure : Pas très élevé, c'est très lucratif, pour le malfraqué derrière, parce qu'en général les gens paient pour récupérer leurs données. Et quelquefois ils n'arrivent pas à récupérer les données. ? il y a deux types de malfrats : les malfrats qui rendent les données et puis le malfrat qui ne les rends pas, et donc je fais très, je voudrais dire aussi au citoyen, si jamais ça vous arrive, la première chose c'est de signaler ceci plutôt que de payer.

Antoine : Avant de parler de pédagogie, Genma, comment sait-on qu'on a été attaqué, piraté, comme vient de le dire Laure de La Raudière ?

Genma : Alors, si l'attaque est bien faite, on ne sait pas, en fait. C'est, idéalement, en fait, pendant longtemps, ça a été, on va mettre en avant, justement, pour avoir des rançons, etc, ou c'est de l'argent facile. Maintenant, il y a d'autres aspects, où on va utiliser les PCs, on dépend de l'utilisateur, justement, pour pas, en fait, sans qu'il le sache, que si on bloque l'ordinateur, c'est visible, on a de l'argent tout de suite. Tandis que si on ne bloque pas l'ordinateur, mais on l'utilise pendant des temps, en fait, d'inactivité de l'ordinateur, un ordinateur tourne en continu, ça permet de créer des réseaux de ce qu'on appelle des botnets, des PCs qui sont en fait sous le contrôle d'un attaquant - il y a un marché noir, justement, de ces botnets-là -, où on va vendre des ressources de puissance machine qui vont permettre de faire des attaques ciblées en masse pendant un temps donné sur un système industriel ou un système informatique quelconque, et justement en fait, tant que c'est pas détecté, la machine est utilisable.

Antoine : On voit là, Philippe Trouchaud, que certains cas en tout cas, on se dit qu'une attaque informatique c'est trop compliqué, on n'arrivera jamais vraiment à se protéger, qu'on ne comprend pas très bien non plus ce qui se passe, et être à la merci des hackeurs, finalement, n'est-ce une fatalité ?

Philippe : Non, pas du tout, comme ça a déjà été dit, en réalité, on est peu formés, peu informés, et en fait les mécanismes de base de protection, ils sont pas en place, et donc les systèmes ne sont pas à jour, et donc, c'est le fameux patch, mise à jour logicielle, on a un défaut structurel, finalement, c'est qu'on utilise ? logiciels de mauvaise qualité, en fait. C'est un problème endémique. Heureusement que l'industrie automobile ne fabrique pas ses voitures comme on fabrique du logiciel, parce que les logiciels ont découvre de nouvelles vulnérabilités tous les jours, et donc si on ne met pas à jour son smartphone, par exemple, il peut être sécurisé aujourd'hui, il ne le sera pas demain, donc cette problématique de mise à jour c'est la première, et il y a une hygiène en matière de cybersécurité, le fait d'avoir des mots de passe robustes, d'avoir des sauvegardes de ces données qui n'est pas en place. Donc les incidents de cybersécurité, ils n'arrivent pas par hasard, et ils arrivent toujours parce que ? malveillance. Et par ailleurs il faut toujours avoir en tête que ? entreprise. On sort d'une ère de crise. Depuis 2008, dans toutes les entreprises, on a fait beaucoup de plans de réduction de coûts, et l'informatique a souvent été la variable d'ajustement de ces plans de réduction de coûts, donc ce qui a été en place il y a dix ans n'a pas forcément été ?, on trouve encore des entreprises qui n'ont pas de sauvegarde de leurs données.

Laure : En fait, il y a eu une prise de conscience cette année dans les grandes entreprises suite à l'attaque, aux deux grandes attaques virales, WannaCry et Petya, donc, c'était à la fin du printemps. Ça ne visait pas particulièrement les entreprises françaises. WannaCry je crois que c'était plutôt centré sur l'Ukraine, donc on voit que du malfrat informatique il peut aussi y avoir quelques fois des États qui peuvent essayer de déstabiliser d'autres États par des attaques de cette ampleur, mais d'autres entreprises françaises très grandes ont été touchées et, suite à ça, il y a eu des communications dans la presse grand public, les entreprises ont mis en place des procédures beaucoup plus strictes, pour protéger en fait face aux ?, je vais donner un exemple : je crois que c'est Saint-Gobain qui maintenant ne délivre plus de service informatique à ses utilisateurs s'ils n'ont pas fait leur mise à jour des pages de sécurité. Avant, dans une entreprise, dans une grande entreprise, vous voyiez ça, mais toutes les directions métier hurlaient, parce que plus aucune direction métier ne pouvait plus fonctionner s'ils n'ont pas leur informatique. Donc, finalement, les services d'information, bah, pliaient, et n'obligeaient pas les mises à jour des pages de sécurité. Aujourd'hui, dans les grandes entreprises françaises, il y a eu une grande prise de conscience des risques cyber, il y a beaucoup plus de facilité à obtenir le budget lié aux investissements cyber nécessaires, mais ça c'est uniquement dans les grandes entreprises, ou alors dans les organismes où il y a des infrastructures vitales. Mais, après, il y a tout le tissu des PME, tout le tissu des citoyens, qui ne sont absolument pas sensibilisés.

Antoine : Un chiffre pour aller dans votre sens, Laure de La Raudière, que vous donnez, Philippe Trouchaud, et votre cabinet, PriceWaterhouseCoopers, 29% des entreprises interrogées par votre cabinet, 29% seulement, perçoivent la sécurité comme un enjeu prioritaire. 3 entreprises sur 10, c'est tout ! Mais avant de combattre un problème, il faut aussi reconnaître ce problème. Dire qu'il existe, ce problème.

Philippe : Absolument. Donc ça, c'est un sondage qui portait surtout sur des entreprises dites de taille intermédiaire, c'est vrai que quand on regarde les entreprises du CAC 40, pour le coup, elles font maintenant de la cybersécurité. Le premier risque encouru par leur groupe. Donc les grandes entreprises elles ont compris. Un petit bémol quand même, en matière de cybersécurité il ne suffit pas de faire des chèques et avoir des budgets, il faut d'abord avoir des talents. Et on est quand même là dans une guerre mondiale de talents, il manque aujourd'hui un million de professionnels sur le marché. Très vite, dès 2020, avec l'explosion des besoins, notamment liés à l'IOT, on sera dans un manque de 2 millions. La Commission européenne est encore plus alarmiste, elle parle de 3 millions de professionnels manquants, donc, en fait on voit quand même, même les grandes entreprises échouer parfois, pas parce qu'elles n'ont pas de moyens financiers, mais simplement parce qu'elles n'ont pas les talents.

Antoine : Et ça, c'est un problème de formation ?

Philippe : Absolument. Un autre problème.

Laure : Les formations existent, en revanche, il y a une cinquantaine de masters en cybersécurité, en France. Donc ça a été mis en place. En revanche, ces formations ne font pas le plein. Donc il y a de la publicité à faire pour que les jeunes rejoignent d'urgence ces formations. Tout d'abord, en France, on est excellents dans cette matière. Et donc on a un savoir-faire en informatique qui est bon, et deuxièmement, il y a plein d'emplois derrière, il y a des emplois intéressants, pour des personnes qui aiment l'informatique (12:10)